第二起是企業(yè)系統(tǒng)存在漏洞,，致使個人信息泄露,。上海市網(wǎng)信辦通報，某醫(yī)療科技公司所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞,，致使系統(tǒng)大量個人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問竊取,。經(jīng)調(diào)查核實,，該公司的系統(tǒng)未采取有效網(wǎng)絡(luò)安全防護措施,，存在未授權(quán)訪問漏洞,，網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度不完善，網(wǎng)絡(luò)日志留存不足6個月,，造成數(shù)據(jù)泄漏被竊取,，違反了《數(shù)據(jù)安全法》第二十七條規(guī)定。針對以上違法情況,，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對該醫(yī)療科技公司給予警告，并處以罰款的行政處罰,。通過這兩起案例可以看出,，無論是企業(yè)還是個人，都需要承擔(dān)起保護個人信息安全的責(zé)任,。特別是企業(yè),，作為數(shù)據(jù)處理的關(guān)鍵一環(huán)，企業(yè)必須確保個人信息在收集,、存儲,、使用、傳輸?shù)雀鱾€環(huán)節(jié)中的安全,。否則一旦發(fā)生個人信息的安全事件,，企業(yè)及相關(guān)個人可能將面臨法律的制裁。二,、優(yōu)化數(shù)據(jù)處理流程的實踐01明確數(shù)據(jù)收集目的與范圍企業(yè)應(yīng)明確數(shù)據(jù)收集的目的和范圍,，遵循“**小必要原則”，只收集實現(xiàn)業(yè)務(wù)功能所必需的個人信息,。同時,，應(yīng)通過隱私政策等方式，向個人信息主體清晰告知數(shù)據(jù)收集的目的,、方式,、范圍及保護措施，確保信息主體的知情權(quán),。02加強數(shù)據(jù)加密與存儲安全在數(shù)據(jù)存儲環(huán)節(jié),。 繼續(xù)致力于推動數(shù)據(jù)安全管理工作的深入開展和創(chuàng)新實踐，為企業(yè)業(yè)務(wù)的穩(wěn)健發(fā)展提供堅實保障,。江蘇企業(yè)信息安全落地

企業(yè)應(yīng)采用**的加密技術(shù),，對個人信息進行加密存儲，防止數(shù)據(jù)在存儲過程中被竊取或篡改,。同時,，應(yīng)建立完善的訪問控制機制,，確保只有授權(quán)人員才能訪問個人信息。03規(guī)范數(shù)據(jù)使用與傳輸在數(shù)據(jù)使用和傳輸過程中,，企業(yè)應(yīng)嚴格遵守相關(guān)法律法規(guī),，確保個人信息的合法、正當,、必要使用,。同時，應(yīng)采用安全的數(shù)據(jù)傳輸協(xié)議,，如HTTPS等,，防止數(shù)據(jù)在傳輸過程中被截獲或篡改。04建立數(shù)據(jù)泄露應(yīng)急響應(yīng)機制企業(yè)應(yīng)建立完善的數(shù)據(jù)泄露應(yīng)急響應(yīng)機制,，一旦發(fā)生數(shù)據(jù)泄露事件,，能夠迅速啟動應(yīng)急預(yù)案，及時采取措施防止損失擴大,，并向相關(guān)部門和個人信息主體報告,。三、結(jié)合“亮劍浦江”專項執(zhí)行行動上海市今年針對消費領(lǐng)域的“亮劍浦江”專項執(zhí)行行動,，對個人信息保護提出了更高要求,。企業(yè)應(yīng)積極響應(yīng)這一行動，加強內(nèi)部管理,，提升個人信息保護水平,。01開展合規(guī)培訓(xùn)企業(yè)應(yīng)**員工參加個人信息保護合規(guī)培訓(xùn)，提高員工的個人信息保護意識和能力,。同時,，應(yīng)建立合規(guī)考核機制，確保員工在工作中嚴格遵守個人信息保護相關(guān)法律法規(guī),。02加強外部合作企業(yè)應(yīng)加強與行業(yè)主管部門,、行業(yè)協(xié)會等外部機構(gòu)的合作，共同推動個人信息保護工作的深入開展,。通過參與行業(yè)自律,、標準制定等活動。 杭州銀行信息安全商家經(jīng)濟欠佳,，企業(yè)往往會在安全投入方面進行縮減,。然而，這并不意味著企業(yè)需要放棄對數(shù)據(jù)安全的管理,。

如何評估信息資產(chǎn)的風(fēng)險等級,？確定風(fēng)險因素的量化指標：對于風(fēng)險發(fā)生的可能性，可以通過統(tǒng)計歷史數(shù)據(jù),、參考行業(yè)安全報告或利用概率模型來確定量化指標,。例如,，通過分析過去幾年企業(yè)遭受網(wǎng)絡(luò)攻擊的次數(shù)，計算出某類攻擊（如 DDoS 攻擊）在一年內(nèi)發(fā)生的概率,。對于風(fēng)險的影響程度,，可以用經(jīng)濟損失金額、業(yè)務(wù)中斷時間,、數(shù)據(jù)丟失量等指標來量化,。比如，評估數(shù)據(jù)泄露風(fēng)險時,，可以根據(jù)泄露的數(shù)據(jù)量,、數(shù)據(jù)的敏感程度（如客戶的信息、商業(yè)機密等）以及恢復(fù)數(shù)據(jù)的成本來計算影響程度,。計算風(fēng)險值：通常使用公式 “風(fēng)險值 = 風(fēng)險發(fā)生的可能性 × 風(fēng)險發(fā)生后的影響程度” 來計算,。例如，如果某信息資產(chǎn)遭受不法分子入侵的可能性為 20%（0.2）,，一旦入侵成功可能導(dǎo)致 1000 萬元的經(jīng)濟損失，那么該風(fēng)險的風(fēng)險值就是 0.2×1000 = 200 萬元,。

金融信息安全措施主要包括以下幾個方面：完善內(nèi)控制度：制定并嚴格執(zhí)行信息安全管理制度,，明確各部門、崗位和人員的管理責(zé)任,。對易發(fā)生信息泄露的環(huán)節(jié)進行充分排查,，制定針對性的防控措施。員工教育與培訓(xùn)：定期對員工進行信息安全培訓(xùn),，提高員工的安全意識和技能,。鼓勵員工參與信息安全演練和應(yīng)急響應(yīng)活動，提升應(yīng)對突發(fā)事件的能力,。風(fēng)險評估與預(yù)警：定期開展信息安全風(fēng)險評估活動,，識別潛在的安全威脅和漏洞。建立信息安全預(yù)警機制,，及時發(fā)布安全預(yù)警信息,，提醒員工采取防范措施。第三方安全管理：對與外部合作伙伴和供應(yīng)商的數(shù)據(jù)交換進行安全管控,，確保數(shù)據(jù)的安全性和完整性,。對第三方服務(wù)供應(yīng)商進行安全審查和評估，確保其具備相應(yīng)的安全資質(zhì)和能力,。安言咨詢在數(shù)據(jù)安全咨詢服務(wù)方面積累了豐富的經(jīng)驗,。

    但勒索軟件攻擊及其他勒索行為，依然成為92%行業(yè)共同面臨的**大威脅,，不容小覷,。攻擊者,、攻擊方式和攻擊目標報告指出，“外部入侵”始終是數(shù)據(jù)泄露事件背后**熱門的手段之一,。有65%的數(shù)據(jù)泄露事件來源于外部攻擊者,，但內(nèi)部數(shù)據(jù)泄露事件（占比35%）仍然值得各行業(yè)、各單位重點關(guān)注（這一數(shù)字比去年的19%大幅增加）,；報告同樣指出,，73%的內(nèi)部泄露行為事實上可以采用相關(guān)的措施進行防范管控，**不應(yīng)袖手旁觀,。受地緣***影響,，**支持的間諜攻擊活動相比去年略有上升，從5%增長到7%,。但有**的犯罪團伙的數(shù)量要遠遠大于其它可能導(dǎo)致數(shù)據(jù)泄漏的**或個人,。從攻擊方式來看，報告指出,，其主要涵蓋了竊取憑證,、漏洞利用、惡意軟件,、雜項錯誤,、社會工程學(xué)攻擊、特權(quán)濫用等多種類型,。其中,，竊取憑證雖然依舊是引發(fā)數(shù)據(jù)泄露**為常用的攻擊途徑，然而其在整體中所占的比例已逐漸降低至24%,；其次,，勒索軟件攻擊在數(shù)據(jù)泄露事件中的占比約達23%；再者,，過去這一年時間里,，有高達59%的安全事件均出現(xiàn)了DoS攻擊的情況；同時在社會工程學(xué)領(lǐng)域,，源自假托（pretexting）手段的攻擊,，例如商業(yè)電子郵件**，已然取代網(wǎng)絡(luò)釣魚,，成為主要的攻擊形式,。從攻擊目標來看，《2024年數(shù)據(jù)泄露調(diào)查報告》顯示,。 通過優(yōu)化數(shù)據(jù)安全風(fēng)險評估,，企業(yè)可以在有限的資源下實現(xiàn)更大的安全收益。南京信息安全解決方案

在資源有限的情況下，企業(yè)應(yīng)該根據(jù)自身的業(yè)務(wù)特點,、數(shù)據(jù)敏感度等因素,，實施準確的風(fēng)險評估策略。江蘇企業(yè)信息安全落地

    信息安全｜關(guān)注安言在當今數(shù)字化時代,，個人信息已成為企業(yè)運營不可或缺的重要資源,。但隨著數(shù)據(jù)量的激增，個人信息泄露,、濫用等風(fēng)險也隨之而來,，嚴重威脅到個人信息主體的權(quán)益。為了應(yīng)對這一挑戰(zhàn),，企業(yè)亟需優(yōu)化數(shù)據(jù)處理流程,，確保個人信息的安全與合規(guī)。結(jié)合上海市今年針對消費領(lǐng)域的“亮劍浦江”專項執(zhí)法行動,，本文將探討如何在實際操作中落實個人信息保護措施,，共同守護個人信息主體的權(quán)益。一,、認識個人信息保護的重要性個人信息是每個人的數(shù)字身份,，涉及姓名、聯(lián)系方式,、消費習(xí)慣等敏感信息,。一旦這些信息被泄露或濫用，不僅可能導(dǎo)致財產(chǎn)損失,，還可能對個人的名譽、隱私造成嚴重影響,。近期,，上海市通報了兩起相關(guān)案件，引發(fā)了***關(guān)注,。***起是個人違法獲取及交易個人信息,。楊浦區(qū)檢察院通報，某安全科技有限公司員工吳某,，通過***違規(guī)訪問境外Telegram平臺,，并在該軟件“l(fā)ing某”群的“資源共享”內(nèi)下載含有公民個人信息的文件，儲存在其持有的移動硬盤中,，同時將上述下載渠道提供給他人,。經(jīng)鑒定，被告人吳某非法獲取的公民個人信息共計1億余條,。經(jīng)楊浦區(qū)檢察院提起公訴,，法院以侵犯公民個人信息罪判處吳某有期徒刑一年六個月，緩刑一年六個月，并處罰金人民幣二千元,。 江蘇企業(yè)信息安全落地